今月のTopics
9月である。今年はBlack HatもSECCONもAVTokyoもCODEBLUEも全てオンライン開催だ。
改めて今年は特別な年になっていることを実感する。歴史を振り返った際に間違いなく2020年は記録に残る年になるだろう。
(オンラインで快適な自宅から参加できるのは有難いと思う。)
8月は無し。多分9月か10月あたりにまた更新がありそう?
前提条件
運用日時:2020年8月1日-2020年8月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No |
ハニーポット |
件数 |
先月比 |
1 |
Dionaea |
4,605,510 |
△811,403 |
2 |
Cowrie |
3,927,297 |
△885,780 |
3 |
Honeytrap |
266,919 |
▲122,871 |
4 |
Heralding |
229,515 |
▲212,388 |
5 |
Mailoney |
88,444 |
△75,548 |
6 |
Rdpy |
58,108 |
▲9,208 |
7 |
Tanner |
4,418 |
▲585 |
8 |
Adbhoney |
3,805 |
△220 |
9 |
Ciscoasa |
1,745 |
▲464 |
10 |
CitrixHoneypot |
785 |
△212 |
11 |
ElasticPot |
613 |
▲300 |
12 |
ConPot |
196 |
▲26 |
13 |
Medpot |
8 |
▲1,501 |
- Result
- DionaeaやCowrieの件数が多いのはいつも通り。
- Mailoneyの件数が増えているのが気になる。
SenderとRecieverで登録されているアドレスは以下の通り。
JPドメインは無かった。
filters |
eMail Address |
CNT |
Sender |
spameri@tiscali.it |
86 |
Sender |
iau@iau-aiu.net |
40 |
Sender |
dfbiagent21@gmail.com |
23 |
Sender |
dfbiagent@gmail.com |
23 |
Sender |
test@comstar.ru |
10 |
Sender |
sarverce@gmail.com |
8 |
Sender |
amas@amasbrasil.org.br |
6 |
Sender |
info@fbi.gov.org |
6 |
Sender |
wwb441@163.com |
6 |
Sender |
abbaghali135@yahoo.fr |
5 |
Receiver |
spameri@tiscali.it |
42 |
Receiver |
dfbiagent21@gmail.com |
23 |
Receiver |
dfbiagent@gmail.com |
23 |
Receiver |
iau@iau-aiu.net |
20 |
Receiver |
abbaghali135@yahoo.fr |
13 |
Receiver |
davjackson911@gmail.com |
13 |
Receiver |
e.larryschur@gmail.com |
13 |
Receiver |
ibepaul01@hotmail.com |
13 |
Receiver |
test@comstar.ru |
5 |
Receiver |
ReubenRashty@outlook.com |
4 |
②攻撃元の国名と件数(Top 20)
No |
攻撃元の国名 |
件数 |
先月順位 |
1 |
Ireland |
1,981,961 |
1(→) |
2 |
Russia |
950,028 |
2(→) |
3 |
Vietnam |
832,669 |
3(→) |
4 |
China |
529,778 |
4(→) |
5 |
United States |
441,063 |
8(↑) |
6 |
Panama |
412,552 |
7(↑) |
7 |
India |
363,473 |
6(↓) |
8 |
Brazil |
296,436 |
9(↑) |
9 |
Indonesia |
241,698 |
11(↑) |
10 |
Venezuela |
221,328 |
14(↑) |
11 |
Germany |
209,644 |
12(↑) |
12 |
Japan |
206,875 |
18(↑) |
13 |
Turkey |
183,885 |
17(↑) |
14 |
Ukraine |
161,519 |
10(↓) |
15 |
Taiwan |
142,886 |
16(↑) |
16 |
Republic of Moldova |
132,459 |
15(↓) |
17 |
Thailand |
130,126 |
19(↑) |
18 |
Netherlands |
119,737 |
4(↓) |
19 |
Egypt |
113,344 |
圏外(↑) |
20 |
Pakistan |
95,772 |
20(→) |
上記の国別のアクセスにおけるPort番号の分布は以下の通り。
※対象は上位10か国まで
No |
攻撃元の国名 |
Port |
件数 |
1 |
Ireland |
22 |
263,104 |
1 |
Ireland |
80 |
243,961 |
1 |
Ireland |
443 |
213,572 |
1 |
Ireland |
25 |
114,368 |
1 |
Ireland |
5900 |
29,194 |
1 |
Ireland |
587 |
20,088 |
1 |
Ireland |
993 |
18,267 |
1 |
Ireland |
43594 |
14,980 |
1 |
Ireland |
465 |
8,276 |
1 |
Ireland |
445 |
1,088 |
2 |
Russia |
445 |
355,839 |
2 |
Russia |
443 |
189,481 |
2 |
Russia |
5900 |
79,634 |
2 |
Russia |
80 |
48,204 |
2 |
Russia |
22 |
44,798 |
2 |
Russia |
25 |
8,862 |
2 |
Russia |
25000 |
6,353 |
2 |
Russia |
3389 |
5,990 |
2 |
Russia |
993 |
3,369 |
2 |
Russia |
465 |
1,552 |
3 |
Vietnam |
445 |
813,093 |
3 |
Vietnam |
1433 |
3,854 |
3 |
Vietnam |
22 |
2,120 |
3 |
Vietnam |
3389 |
2,011 |
3 |
Vietnam |
25 |
382 |
3 |
Vietnam |
23 |
146 |
3 |
Vietnam |
8545 |
59 |
3 |
Vietnam |
80 |
26 |
3 |
Vietnam |
1194 |
25 |
3 |
Vietnam |
65529 |
14 |
4 |
China |
445 |
96,894 |
4 |
China |
22 |
64,897 |
4 |
China |
1433 |
20,612 |
4 |
China |
25 |
5,957 |
4 |
China |
80 |
1,065 |
4 |
China |
3389 |
984 |
4 |
China |
23 |
859 |
4 |
China |
21 |
542 |
4 |
China |
6379 |
379 |
4 |
China |
65529 |
334 |
5 |
United States |
5060 |
149,138 |
5 |
United States |
445 |
63,261 |
5 |
United States |
25 |
48,573 |
5 |
United States |
21 |
27,142 |
5 |
United States |
22 |
13,171 |
5 |
United States |
3389 |
4,576 |
5 |
United States |
1433 |
1,654 |
5 |
United States |
23 |
1,579 |
5 |
United States |
5432 |
816 |
5 |
United States |
80 |
433 |
6 |
Panama |
80 |
91,000 |
6 |
Panama |
22 |
55,746 |
6 |
Panama |
443 |
39,006 |
6 |
Panama |
445 |
2,065 |
6 |
Panama |
25 |
249 |
6 |
Panama |
993 |
58 |
6 |
Panama |
1433 |
36 |
6 |
Panama |
143 |
33 |
6 |
Panama |
995 |
26 |
6 |
Panama |
5555 |
7 |
7 |
India |
445 |
335,469 |
7 |
India |
22 |
3,872 |
7 |
India |
3389 |
1,739 |
7 |
India |
1433 |
611 |
7 |
India |
23 |
214 |
7 |
India |
2323 |
123 |
7 |
India |
47001 |
53 |
7 |
India |
4369 |
41 |
7 |
India |
8129 |
41 |
7 |
India |
2123 |
40 |
8 |
Brazil |
445 |
271,934 |
8 |
Brazil |
22 |
3,415 |
8 |
Brazil |
1433 |
1,101 |
8 |
Brazil |
23 |
163 |
8 |
Brazil |
2323 |
131 |
8 |
Brazil |
80 |
68 |
8 |
Brazil |
8080 |
56 |
8 |
Brazil |
9530 |
44 |
8 |
Brazil |
3389 |
41 |
8 |
Brazil |
81 |
12 |
9 |
Indonesia |
445 |
227,637 |
9 |
Indonesia |
22 |
2,061 |
9 |
Indonesia |
1433 |
644 |
9 |
Indonesia |
23 |
56 |
9 |
Indonesia |
8080 |
20 |
9 |
Indonesia |
80 |
14 |
9 |
Indonesia |
3389 |
10 |
9 |
Indonesia |
4343 |
8 |
9 |
Indonesia |
4443 |
7 |
9 |
Indonesia |
1443 |
6 |
10 |
Venezuela |
445 |
221,160 |
10 |
Venezuela |
1433 |
27 |
10 |
Venezuela |
22 |
11 |
10 |
Venezuela |
23 |
7 |
10 |
Venezuela |
8080 |
2 |
10 |
Venezuela |
80 |
1 |
10 |
Venezuela |
3311 |
1 |
10 |
Venezuela |
4443 |
1 |
10 |
Venezuela |
13026 |
1 |
10 |
Venezuela |
14614 |
1 |
- Result
- 国別のアクセスポート数をみるとssh(22)やhttp(80)、smb(445)、RDP(3389)が多い。
- SMTP(25)やVNC(5900)が多いのは昨今のリモートワークの流行に乗って、サーバからクライアントへ攻撃対象が遷移しているためと考えている。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No |
CVE ID |
CNT |
1 |
CVE-2020-11899 |
50,898 |
2 |
CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 |
36 |
3 |
CVE-2020-11910 |
22 |
4 |
CVE-2020-8515 CVE-2020-8515 |
5 |
5 |
CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 |
2 |
- Result
- Ripple20の攻撃が相変わらず多い。 1万件を下回ることが無いのは驚きである。
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No |
ユーザ名 |
件数 |
1 |
root |
302,087 |
2 |
admin |
201,227 |
3 |
sa |
12,699 |
4 |
user |
11,386 |
5 |
support |
10,367 |
6 |
nproc |
2,688 |
7 |
22 |
1,894 |
8 |
postgres |
1,286 |
9 |
test |
968 |
10 |
ubuntu |
873 |
11 |
sh |
656 |
12 |
666666 |
502 |
13 |
oracle |
398 |
14 |
enable |
347 |
15 |
git |
334 |
16 |
guest |
324 |
17 |
ftpuser |
320 |
18 |
deploy |
314 |
19 |
administrator |
312 |
20 |
mysql |
224 |
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No |
パスワード |
件数 |
1 |
admin |
287065 |
2 |
& |
79734 |
3 |
user |
10716 |
4 |
support |
10281 |
5 |
123456 |
5254 |
6 |
root |
4874 |
7 |
password |
3136 |
8 |
nproc |
2688 |
9 |
12345678 |
1930 |
10 |
|
1593 |
11 |
123 |
1515 |
12 |
12345 |
1283 |
13 |
1234 |
1009 |
14 |
Password |
694 |
15 |
aqweasdfgfdgfdh |
651 |
16 |
ubnt |
599 |
17 |
666666 |
592 |
18 |
123123 |
585 |
19 |
alpine |
536 |
20 |
master |
534 |
最後に
- ElasticSearchのバージョンアップによりKibanaのTimeout時間が伸びた。その結果、Kibanaの管理画面にて大量データ検索時にもTimeoutエラーが出なくなった。
運用を続けて、データが蓄積されるとKibanaのTimeoutエラーが頻発して運用影響があったので、これは非常にありがたい改善点だった。
- 日本の神戸周辺の
infowebドメイン
の端末からのSatori botのアクセスは依然として続いている。
そろそろIPAさんあたりに通報したほうがよかと?